Justitsministeriet og Datatilsynet har i kølvandet på vejledningen om persondataretligt samtykke netop offentliggjort en ny vejledning om dataansvarlige og databehandlere. Vejledningen er den femte i rækken af vejledninger, der bliver offentliggjort frem mod den 25. maj 2018, hvor persondataforordningen håndhæves.
Rollerne i persondatalovgivningen
Inden for persondataretten sondres der mellem, om man er ”dataansvarlig” eller ”databehandler”, når man behandler personoplysninger. Sondringen mellem de to roller er helt central, da krav til de to roller er forskellige. Den dataansvarlige bestemmer, med hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne). Den dataansvarlige er også ansvarlig for at sikre, at en behandling af personoplysninger lever op til reglerne i persondataforordningen.
Vejledningen indeholder nogle generelle principper og eksempler, som kan hjælpe private virk-somheder, offentlige myndigheder og andre organer, som behandler personoplysninger, til at afklare, hvilken rolle virksomheden eller myndigheden har i forbindelse med behandlingen af personoplysninger. Blandt andet kan man lægge vægt på, om den ydelse, der skal leveres, behandling af personoplysninger, hvem der træffer afgørelse om formål og væsentlige hjælpemidler, herunder behandlingsskridt som indsamling, videregivelse, sletning og anvendelse af underdatabehandlere, og om aftalen eller en del af en aftale en direkte eller indirekte instruks til en ene part om behandling af personoplysninger.
Dataansvarlig eller databehandler
Hvis der er tale om en databehandlerrelation, skal den dataansvarlige sikre sig, at der udarbejdes en databehandleraftale, som lever op til de krav, der stilles til sådanne aftaler i persondataforordningen. En databehandleraftale skal være skriftlig, herunder elektronisk, og bl.a. indeholde oplysninger om genstanden for og varigheden af behandlingen, behandlingens formål, typen af personoplysninger og kategorien af personoplysninger, som behandles, mv.
Hvis ingen af parterne er databehandlere, men der derimod er tale om to selvstændige dataansvarlige, som udveksler personoplysninger, skal der være grundlag herfor i persondataforordningen. Den dataansvarlige, som videregiver personoplysninger, skal sikre at denne har lov til at videregive oplysningerne. Den dataansvarlige, som modtager oplysningerne, skal sikre, at denne lov til at behandle personoplysningerne til sine egne, nye formål. Derudover skal den modtagende dataansvarlige selvstændigt opfylde sin oplysningspligt efter persondataforordningen.
Praktiske eksempler
Udover de generelle principper for, hvornår man er dataansvarlig henholdsvis databehandler, indeholder vejledningen også nogle praktiske eksempler på, hvornår der er tale om en databe-handlerrolle henholdsvis en dataansvarligrolle (fx når en revisor udarbejder en selvangivelse, eller når en virksomhed videregiver oplysninger om sine ansatte til SKAT i forbindelse med lønberegning, mv.).
Flere vejledninger i vente
Justitsministeriet og Datatilsynet vil frem mod starten af 2018 offentliggøre flere vejledninger til persondataforordninger. Den næste vejledning, der forventes offentliggjort, er vejledningen om pligten til at føre en fortegnelse over aktiviteter, der indebærer behandling af personoplysninger.
Tidsplanen for vejledningerne kan ses her.
Vejledningen om dataansvarlige og databehandlere kan læses her.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
-medium.jpg)
-medium.jpg)
-medium.jpg)
